Datenschutz-Management-Zertifizierung in der Schweiz
23.08.2021
[IITR – 23.08.21] Im letzten Beitrag haben wir uns mit der italienischen Datenschutz-Zertifizierung befasst. Obwohl im Herrschaftsbereich der EU-DSGVO befindlich, erkennen wir dennoch einige Unterschiede – beispielsweise zu Deutschland – womöglich verursacht durch eine andere Organisation der Aufsichtsbehörden mit der Folge anderer Schwerpunkte, zum Beispiel für Zertifizierungen.
Datenschutz-Zertifizierung in der Schweiz
Wie sieht es nun aus in Ländern, welche aus Sicht der EU ein angemessenes Datenschutz-Niveau haben und deren Regelungen auch an der DSGVO orientiert sind?
Blicken wir in die Schweiz. Der Datenschutzbeauftragte des Kantons Zürich hat ein Merkblatt Zertifizierung sowie einen Leitfaden Datenschutz-Managementsysteme veröffentlicht. Darin erfahren wir:
Öffentliche Organe des Kantons Zürich können ihre Verfahren, Organisation und technischen Einrichtungen durch eine unabhängige Organisation zertifizieren lassen. Durch das im Rahmen der Zertifizierung notwendige Einrichten eines Datenschutz-Managementsystems wird ein gewisses Qualitätsniveau sichergestellt, indem die Strukturen und Prozesse mit Blick auf die gesetzlichen Vorgaben des Datenschutzes und der Informationssicherheit durch die Verwaltungsstellen und Gemeinden definiert werden.
Eine solche Zertifizierung ist freiwillig. Sie gibt den Behörden, aber auch privaten Organisationen, die mit der Erfüllung einer öffentlichen Aufgabe betraut sind, die Möglichkeit, aktiv die Umsetzung der datenschutz-rechtlichen Anforderungen an die Hand zu nehmen.
Zertifizierung auch für Datenschutz-Management-Systeme
Hier wird also die Möglichkeit geschaffen, für bestimmte Bereiche ein Datenschutz-Management-System freiwillig zertifizieren lassen zu können.
Dabei wird hervorgehoben, dass sich hierdurch das Qualitätsniveau im Datenschutz sicherstellen lässt.
Die IITR Datenschutz GmbH hat ein eigenes Datenschutz-Management-System (Compliance-Kit 2.0) entwickelt und seinen Mandanten bereits zum Zeitpunkt der Einführung der DSGVO bereitgestellt. Dieses Instrument kann jedoch unter der DSGVO nicht zertifiziert werden. Aus diesem Grunde ließen wir unser DMS auf vorhandene Übereinstimmung mit der DSGVO überprüfen. Diese Auditierung wurde durch im Datenschutz tätige Ziviltechniker durchgeführt. Es handelt sich um vereidigte Sachverständige, die im österreichischen Rechtsraum tätig sind.
Der Datenschutzbeauftragte des Kantons Zürich teilt weiterhin mit:
Das Zertifizierungsverfahren ist ein formelles Verfahren, im Rahmen dessen das Datenschutz-Management-system geprüft und bewertet wird. Die Zertifizierung erfolgt durch eine bei der Schweizerischen Akkreditierungsstelle anerkannte Organisation. Verläuft das Zertifizierungsverfahren erfolgreich, wird ein Gütesiegel verliehen. Das Zertifikat gilt für drei Jahre, wobei jährlich ein Wiederholungsaudit oder ein Rezertifizierungs-Audit am Schluss der Periode durchgeführt werden muss.
Unser eigenes Datenschutz-Management-System (Compliance-Kit 2.0) geht über die Anforderungen des Leitfadens aus Zürich hinaus, es weist zusätzliche Merkmale auf, insbesondere in der Dokumentenführung, der Versionierung der Dokumente, revisionssicherer Archivierung und kann direkt als Grundlage einer ISO 27701-Zertifizierung herangezogen werden.
Zertifizierungen unter der DSGVO beschränken sich auf Produkte und Dienstleistungen.
Man kann – wie die Schweiz – aus guten Gründen über diese von der DSGVO auf Produkte und Dienstleistungen beschränkten Möglichkeiten einer Zertifizierung hinausgehen, denn Datenschutz-Management-Systeme dokumentieren die vorhandenen Strukturen und Prozesse mit Blick auf die gesetzlichen Vorgaben des Datenschutzes und der Informationssicherheit. Das Datenschutz-Management-System schafft Transparenz. Genau dafür ist es gedacht. Es eröffnet die Möglichkeit, aktiv die Umsetzung der datenschutzrechtlichen Anforderungen zu dokumentieren. Für den Verantwortlichen stellt ein Datenschutz-Management-System das Instrument einer aktuellen Status-Kontrolle dar.
Autor: Eckehard Kraska
